ntop verkefnið, sem þróar verkfæri til að fanga og greina umferð, hefur gefið út útgáfu nDPI 4.0 djúppakkaskoðunarverkfærasettsins, sem heldur áfram þróun OpenDPI bókasafnsins. nDPI verkefnið var stofnað eftir misheppnaða tilraun til að ýta undir breytingar á OpenDPI geymslunni, sem var ekki viðhaldið. nDPI kóðinn er skrifaður í C og er með leyfi samkvæmt LGPLv3.
Verkefnið gerir þér kleift að ákvarða samskiptareglur á forritastigi sem notaðar eru í umferð, greina eðli netvirkni án þess að vera bundin við nettengi (það getur ákvarðað þekktar samskiptareglur sem stjórnendur samþykkja tengingar á óstöðluðum netgáttum, til dæmis ef http er sent frá annarri höfn en 80, eða öfugt, þegar þeir eru að reyna að fela aðra netvirkni sem http með því að keyra hana á höfn 80).
Отличия от OpenDPI сводятся к поддержке дополнительных протоколов, портированию для платформы Windows, оптимизации производительности, адаптации для применения в приложениях для мониторинга трафика в режиме реального времени (убраны некоторые специфичные возможности, замедлявшие движок), возможности сборки в форме модуля ядра Linux и поддержке определения субпротоколов.
Alls eru 247 samskiptareglur og skilgreiningar á forritum studdar, frá OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к GMail, Office365 GoogleDocs и YouTube. Имеется декодировщик серверных и клиентских SSL vottorð, sem gerir þér kleift að bera kennsl á samskiptareglur (til dæmis Citrix Online og Apple iCloud) með dulkóðunarvottorði. nDPIreader gagnsemin er notuð til að greina innihald pcap-skráa eða núverandi netviðmótsumferðar.
$ ./nDPIreader -i eth0 -s 20 -f “host 192.168.1.10” Greinar samskiptareglur: DNS pakkar: 57 bæti: 7904 flæði: 28 SSL_No_Cert pakkar: 483 bæti: 229203 flæði: 6 FaceBook pakkar: 136 pakkar: 74702 Facebook 4 DropBox pakkar: 9 bæti: 668 flæði: 3 Skype pakkar: 5 bæti: 339 flæði: 3 Google pakkar: 1700 bæti: 619135 flæði: 34
Í nýju útgáfunni:
- Bættur stuðningur við dulkóðaðar umferðargreiningaraðferðir (ETA - Encrypted Traffic Analysis).
- Stuðningur hefur verið innleiddur fyrir endurbætt JA3+ TLS auðkenningaraðferð viðskiptavinar, sem gerir, á grundvelli samningaviðræðna um tengingar og tilgreindar færibreytur, kleift að ákvarða hvaða hugbúnaður er notaður til að koma á tengingu (til dæmis gerir það þér kleift að ákvarða notkun Tor og önnur dæmigerð forrit). Ólíkt áður studdu JA3 aðferðinni hefur JA3+ færri falskar jákvæðar.
- Fjöldi auðkenndra netógna og vandamála sem tengjast hættu á málamiðlun (flæðisáhætta) hefur verið stækkuð í 33. Nýjum ógnarskynjarum hefur verið bætt við sem tengjast skjáborðs- og skráadeilingu, grunsamlegri HTTP umferð, skaðlegum JA3 og SHA1 og aðgangi að vandamálum lén og sjálfstæð kerfi, notkun TLS vottorða með grunsamlegum framlengingum eða of löngum gildistíma.
- Umtalsverð hagræðing hefur verið framkvæmd miðað við grein 3.0, hraði umferðarvinnslu hefur aukist um 2.5 sinnum.
- Bætt við GeoIP stuðningi til að ákvarða staðsetningu með IP tölu.
- Bætt við API til að reikna út RSI (Relative Strength Index).
- Brotingareftirlit hefur verið innleitt.
- Bætt við API til að reikna út flæðisjafnvægi (jitter).
- Bætt við stuðningi við samskiptareglur og þjónustu: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assistant ( Alexa, Siri), Z39.50.
- Bætt þáttun og uppgötvun AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP samskiptareglur, RTSP í gegnum HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Heimild: opennet.ru
